Sono emerse prove inconfutabili della presenza dello spyware Graphite di Paragon su diversi smartphone Android appartenenti a vittime italiane, tra cui Luca Casarini di Mediterranea Saving Humans, il direttore di Fanpage Francesco Cancellato e Beppe Caccia, l’armatore di Mediterranea.
L’analisi forense, condotta dai ricercatori del prestigioso Citizen Lab dell’Università di Toronto, ha permesso di individuare chiari segni dell’inserimento del malware all’interno di WhatsApp (confermati da WhatsApp stesso) e altre applicazioni sui dispositivi compromessi.
Indice degli argomenti
Spyware e questioni etiche: il commento di Vitalba Azzolini
Questo conferma l’Italia come uno dei paesi clienti di Paragon, sollevando interrogativi sulle modalità e le finalità di utilizzo di tali strumenti di sorveglianza nel nostro territorio.
“Intercettare tramite spyware i giornalisti non solo è contrario al principio di libertà di stampa, tutelato costituzionalmente, ma è anche vietato dalla legge”, sottolinea Vitalba Azzolini, giurista e funzionaria presso una Autorità indipendente di vigilanza e regolamentazione. “Il Media Freedom Act, il regolamento europeo sui media, vincolante per gli stati membri, sancisce il divieto di intercettare – soprattutto con software di sorveglianza intrusivi installati sui dispositivi elettronici – i giornalisti, salvo casi di estrema gravità. Sarebbe intaccato anche il principio di tutela delle fonti, una delle pietre angolari della libertà di stampa”.
“Non c’è una norma analoga a tutela degli attivisti”, aggiunge la Azzolini, “ma un’attività di “intercettazione” così intrusiva, se priva delle condizioni che la legittimano ai sensi del diritto nazionale, potrebbe configurarsi come forma di pressione tesa a dissuaderli dallo svolgere il loro ruolo a tutela dei diritti, specie a favore di soggetti in condizioni di fragilità”.
“Dunque, anche nel caso degli attivisti, si pone un tema di tutela dei loro contatti”, continua la giurista.
“Peraltro, ai sensi dell’articolo 1 della Dichiarazione delle Nazioni Unite sui Difensori dei Diritti Umani, “Tutti hanno il diritto, individualmente ed in associazione con altri, di promuovere e lottare per la protezione e la realizzazione dei diritti umani e delle libertà fondamentali a livello nazionale ed internazionale”. Detto questo, è estremamente grave il velo di opacità che ha avvolto la vicenda, e con una classificazione di segretezza posta in maniera del tutto informale, mediante una lettera del sottosegretario alla presidenza del consiglio Alfredo Mantovano. La legge prescrive una specifica procedura per tale classificazione, ma non è dato sapere se essa sia stata rispettata”, conclude Vitalba Azzolini.
L’emergere di un nuovo attore nel panorama dello spyware
Il recente rapporto pubblicato dal prestigioso Citizen Lab dell’Università di Toronto ha dunque confermato e portato alla luce un’inquietante realtà nel campo della sorveglianza digitale.
Paragon Solutions, azienda israeliana fondata nel 2019, sta guadagnando terreno nel mercato degli strumenti di sorveglianza con il suo software Graphite, presentandosi come un’alternativa “eticamente responsabile” rispetto a concorrenti già noti per pratiche controverse, come NSO Group che ha sviluppato Pegasus, un altro famigerato spyware.
Nonostante Paragon sostenga di disporre di misure di sicurezza progettate per prevenire abusi, l’indagine solleva seri dubbi sulla reale applicazione di tali protezioni, evidenziando un pattern preoccupante nell’utilizzo del loro software.
Fonte: Citizen Lab.
Un’infrastruttura globale sotto osservazione
I ricercatori del Citizen Lab, grazie a segnalazioni di collaboratori fidati, sono riusciti a mappare l’infrastruttura dei server collegati allo spyware Graphite di Paragon. L’analisi ha permesso di identificare installazioni sospette in diversi paesi, tra cui Australia, Canada, Cipro, Danimarca, Israele e Singapore.
Particolarmente interessante è emersa la connessione con le forze dell’ordine canadesi: l’indagine ha rivelato potenziali legami tra Paragon Solutions e la polizia provinciale dell’Ontario, suggerendo lo sviluppo di un vero e proprio ecosistema di funzionalità spyware all’interno dei servizi di polizia di questa regione canadese.
Fonte: Citizen Lab.
Collaborazione con WhatsApp e scoperta di uno zero-click
Un aspetto fondamentale dell’indagine riguarda la collaborazione tra il Citizen Lab e Meta, proprietaria di WhatsApp. I ricercatori hanno condiviso la loro analisi dell’infrastruttura di Paragon con Meta, che ha confermato come tali informazioni siano state cruciali per un’indagine già in corso sull’azienda israeliana.
Grazie a questa sinergia, WhatsApp è riuscita a individuare e neutralizzare un pericoloso exploit “zero-click” (che non richiede alcuna interazione da parte dell’utente per infettare il dispositivo) attivamente utilizzato da Paragon.
Successivamente, la piattaforma di messaggistica ha informato oltre 90 persone ritenute vittime di questo attacco, inclusi numerosi membri della società civile italiana.
Lo spyware colpisce anche iPhone: il caso italiano
L’indagine del Citizen Lab non si è limitata ai dispositivi Android.
I ricercatori hanno analizzato anche l’iPhone di David Yambio, uno stretto collaboratore di Luca Casarini e Beppe Caccia e fondatore dell’organizzazione Refugees in Libya, con sede in Italia. Yambio aveva ricevuto un avviso da Apple riguardante una possibile minaccia digitale nel novembre 2024, pur non avendo ricevuto alcuna notifica da WhatsApp.
Insospettito da questo avviso di sicurezza, Yambio ha contattato l’esperto di cyber security Artur Papyan di Cyber HUB-AM per ricevere assistenza. Papyan ha effettuato una raccolta di artefatti forensi dal dispositivo e uno screening iniziale del dispositivo con il supporto del Citizen Lab che ha identificato potenziali anomalie.
L’analisi ha quindi rivelato un tentativo di infezione del dispositivo con un nuovo tipo di spyware risalente a giugno 2024, quindi ben prima che venisse fatta luce sullo scandalo Paragon. I dettagli tecnici condivisi con Apple hanno permesso all’azienda di Cupertino di confermare l’applicazione di una patch per questo specifico attacco nella versione iOS 18.
In realtà, come giustamente fa notare Alessandro Curioni, fondatore di DI.GI Academy e specializzato in Information Security & Cybersecurity – Data Protection, “la notizia è meno clamorosa di quello che sembra in quanto proprio noi italiani siamo maestri nell’utilizzo dei cosiddetti captatori informatici e lo scandalo Hacking Team o anche quello Telecom è lì a ricordarcelo. E, a dirla tutta, anche il più recente caso dossieraggi con le attività dell’azienda milanese Equalize ricade nello stesso filone informativo”.
“Due casi che confermano come da tempo, ormai, anche le democrazie utilizzino regolarmente gli strumenti di spionaggio cibernetico”, continua ancora l’analista. “Il vero problema, semmai, è nell’utilizzo distorto che i governi, le forze dell’ordine e le autorità potrebbero fare di questi stessi strumenti”.
Inoltre, fa notare ancora Alessandro Curioni, “l’aspetto interessante da osservare in questi casi è proprio il ciclo di vita dei software di sorveglianza e delle vulnerabilità zero-day il cui sfruttamento ne consente il funzionamento. Se ai tempi di Hacking Team questo tempo era stimabile in anni, adesso la scoperta di una zero-day può restare ad appannaggio di un singolo per sei mesi o anche meno. E questo, di fatto, non fa altro che aumentare il costo di questi software rendendone sempre meno conveniente l’utilizzo da parte degli attori della minaccia che, molto probabilmente, in futuro si orienteranno verso altri strumenti ancora più sofisticati”.
“Se vogliamo vedere il lato positivo”, conclude Curioni, “è che l’installazione di captatori da parte di servizi o forze dell’ordine potrebbe richiedere il coinvolgimento di altri attori come gli operatori telco o le big tech. In una situazione del genere potrebbe essere più complicato uscire dal seminato”.
Al centro la tutela dei principi costituzionali apicali
Il 31 gennaio WhatsApp, l’app di messaggistica istantanea di Meta, ha dichiarato che Paragon Solutions, un produttore israeliano di software di hacking, ha preso di mira circa 90 utenti tra i qual giornalisti e altri individui, anche italiani, con una compagna spyware.
Secondo notizie di stampa, Paragon Solutions è una società di cyber intelligence israeliana che fornisce, tra l’altro, software spyware, cioè utilizzato per spiare conversazioni e altro. Tra i suoi clienti figurerebbero diverse entità, tra le quali anche il governo degli Stati Uniti, servizi di intelligence di vari Paesi, le agenzie di polizia in Europa e Israele.
Su questi fatti Alfredo Mantovano, quale Autorità delegata per la sicurezza della Repubblica, ne avrebbe già riferito al Copasir (Comitato parlamentare per la sicurezza della Repubblica).
Sappiamo con certezza che diverse procure italiane stanno indagando su questi fatti di spionaggio e le indagini sono chiuse nel riserbo. Tuttavia, in un’intervista alla trasmissione “Otto e Mezzo” di qualche giorno fa, Nicola Gratteri, procuratore della Repubblica del Tribunale di Napoli, ha confermato che anche la sua Procura sta indagando e che il software spia sarebbe in uso a circa un centinaio di entità in Europa. Gratteri ha aggiunto che le indagini mirano ad accertare chi sia l’effettivo mandante e beneficiario delle operazioni illecite di spionaggio, lasciando trasparire che potrebbero anche essere anche stranieri.
Il tema, comunque, è della massima delicatezza perché coinvolge la tutela dei principi costituzionali apicali posti a protezione della libertà delle persone: cioè che “la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge”, come sancito dall’articolo 15 della Costituzione italiana.
Proprio su questa architettura inviolabile è stata “costruita e limitata”, nell’attuale sistema processuale accusatorio, l’attività investigativa del Pubblico ministero durante le indagini, sottoponendo le intercettazioni a tutta una normativa a tutela dell’indagato, e degli altri individui estranei ai fatti per i quali si indaga. Le garanzie costituzionali vengono inoltre rafforzate anche attraverso il controllo superiore di un giudice terzo e imparziale sull’attività investigativa del PM.
Tutto ciò ci offre lo spunto per segnalare che diversi organi di stampa, in questi giorni, riportano la notizia che le commissioni Affari costituzionali e giustizia del Senato, avrebbero approvato l’articolo 31 del “ddl Sicurezza”, un disegno di legge promosso dal Ministro dell’Interno Piantedosi, dal ministro della Giustizia Nordio e dal Ministro della Difesa Crosetto del governo di Giorgia Meloni per intervenire sul contrasto al terrorismo e alla criminalità organizzata e sui controlli di polizia.
L’articolo 31 è stato molto contestato dalle opposizioni, ma non solo, perché aumenterebbe i poteri dei servizi segreti senza prevederne un maggiore controllo.
L’articolo 31, “Disposizioni per il potenziamento dell’attività di informazione per la sicurezza”, va a modificare la legge del 2007 che aveva già riformato il sistema dei servizi segreti civili e militari, sottoponendoli, tra l’altro, al controllo politico attraverso il DIS. La nuova norma contestata darebbe maggiore potere alle agenzie dei servizi segreti italiani anche per ottenere dalle pubbliche amministrazioni e dalle società pubbliche informazioni riservate.
Per molti esperti la norma sarebbe troppo generica, consentendo all’intelligence di disporre di molte informazioni delicate e dati personali conservati dalle pubbliche amministrazioni, senza limiti adeguati e senza il rispetto delle dovute garanzie costituzionali.
di Nicola Iuvinale, Avvocato
Un ecosistema di sorveglianza più ampio
Il rapporto evidenzia anche come le stesse vittime siano state probabilmente oggetto di altre tecnologie di sorveglianza.
Meta ha inviato nel 2024 diversi avvisi a persone appartenenti alla stessa rete organizzativa già osservata, compresa una vittima confermata di Paragon.
Ciò suggerisce la necessità di indagini più approfondite sulle varie tecnologie di sorveglianza impiegate contro questi individui.
Il mercato degli spyware e le implicazioni etiche
L’emergere di aziende come Paragon Solutions dimostra come il mercato degli spyware continui a evolversi e diversificarsi, con nuovi attori che cercano di posizionarsi come alternative “etiche” rispetto a concorrenti controversi.
Tuttavia, le evidenze raccolte dal Citizen Lab sollevano seri dubbi sulla reale differenza tra questi operatori.
La presenza di clienti in paesi democratici, inclusa l’Italia, evidenzia come l’uso di tecnologie di sorveglianza invasive non sia limitato a regimi autoritari, ma rappresenti una tendenza globale che solleva importanti questioni etiche, legali e di diritti umani.
Per gli utenti comuni, questi sviluppi sottolineano l’importanza di mantenere i propri dispositivi aggiornati con le ultime patch di sicurezza e di prestare attenzione a comportamenti anomali dei propri smartphone, potenzialmente indicativi di compromissione.
The Good Lobby: mail bombing per aprire un’inchiesta indipendente
Il rapporto rilasciato ieri da Citizen Lab sul caso Paragon evidenzia come i 90 casi di spionaggio a danni di attivisti e giornalisti già emersi in Europa, di cui 7 in Italia, potrebbero essere solo una frazione del numero totale.
“Non solo, nel nostro Paese, secondo i ricercatori, emerge un modello preoccupante e familiare in cui si prendono di mira gruppi per i diritti umani e giornalisti critici del governo“, mette in guardia The Good Lobby: “Alla luce di queste ulteriori analisi ribadiamo che il rifiuto del Governo a riferire in Parlamento è inaccettabile. Proprio perché a essere colpiti dallo spyware sono stati due capisaldi dello stato di diritto (i media e la società civile), crediamo serva una discussione aperta e trasparente – dichiara Federico Anghelé, direttore di The Good Lobby – perché questo scandalo riguarda tutti noi”.
Per questo The Good Lobby, insieme a Hermes Center, Period Think Tank, Privacy Network e Strali hanno lanciato un mail bombing per chiedere che il governo, raggiunto da oltre 14.000 email, riferisca in Parlamento e l’apertura di un’inchiesta indipendente: “Invitiamo tutte le persone che hanno a cuore il diritto all’informazione, la libertà di espressione e di protesta, così come la tutela della privacy, ad unirsi alla nostra campagna”.
